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摘 要 : 针对 目前 无 证 书 聚合 签 密 (CLASC) 方案 计算 效率 较 低 的 问题 ， 提 出 了 一 个 适合 于 物 联 网 的 无 双 线 性 对 的 聚 
合 签 密 方 案 。 该 方案 与 目前 最 好 方案 [15] 相 比 ， 运 算 效率 提高 了 近 六 倍 ， 在 聚合 签 密 阶 段 只 需要 〈2n+1) 次 点 乘 运算 ， 
在 聚合 解 签 蜜 阶段 需要 GneD 次 点 乘 运算 。 基 于 离散 对 数 问题 ， 在 随机 预言 模型 下 证 明了 方案 满足 机 密 性 和 不 可 伪 
造 性 。 在 聚合 签 密 验 证 阶段 ， 不 需要 第 三 方 的 秘密 信息 ， 方 案 满足 可 公开 验证 性 。 最 后 ， 指 出 该 方案 能 以 较 低 的 计算 
速率 实现 较 高 的 安全 性 ， 更 适合 用 于 物 联 网 。 

关键 词 : 无 证 书 聚 合 签 密 ; 物 联 网 ; 无 双 线 性 对 ; 随机 预言 模型 ; 可 公开 验证 

中 图 分 类 号 : TP309.7 doi: 10.19734/j.issn.1001-3695.2018.05.0446 


Certificateless aggregate signcryption scheme for internet of things communication 
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Abstract: Aiming at the problem of low computational efficiency of the current certificateless aggregation signcryption 
(CLASC) scheme, this paper proposed an aggregate signcryption scheme which is suitable for the Internet of things without 
bilinear pairings. Compared with the current best scheme[15], the efficiency of the scheme is increased by nearly 6 times. The 
scheme only needs (2n+1) times of dot multiplication operation in the aggregate signcryption stage, and (Sn+1) times of dot 
multiplication operation in the aggregate unsigncryption stage. Based on the discrete logarithm problem, the scheme satisfied 
confidentiality and the unforgeability under the random oracle model. In the aggregate signcryption verification phase, there is 
no need to provide the third party's secret information, so the scheme satisfies public verifiability. Finally, it also pointed out 


that the scheme can achieve higher security at lower computation speed and is more suitable for Internet of things. 
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物 的 准确 交流 ， 同 时 还 需要 保证 网 络 基础 设施 有 一 个 经 济 的 部 

Sb. 这 就 需要 系统 在 一 个 高 效 、 可 靠 、 安 全 的 模式 下 协调 运行 ， 

2005 年 , 国际 电信 联盟 首次 提出 物 联网 (Intermnet of things, ”所 以 利用 密码 技术 设计 安全 、 高 效 的 算法 与 协议 是 IoT 研究 
IoT) HR UI. 之 后 , 越 来 越 多 的 国家 投入 了 对 物 联 网 的 研究 ， ”侧重 点 。 
取得 了 丰硕 的 成 果 P253。 物 联网 已 经 广泛 运用 于 食品 安全 、 公 保证 信息 安全 的 核心 技术 就 是 现代 密码 技术 ， 它 可 以 保证 
共 安 全 、 健 康 监 测 、 智 能 交通 、 安 防 、 环 保 等 诸多 行业 。 网 络 。 网 络 环境 下 信息 的 保密 性 、 完 整 性 、 可 用 性 和 抗 抵赖 性 等 。 其 
规模 从 一 个 实验 室 到 一 栋 大 楼 再 到 一 个 小 区 不 断 扩大 ， 并 且 出 中， 保密 性 可 以 通过 加 密 的 方法 来 实现 ， 认 证 性 可 以 用 数字 签 
岗 了 不 同系 统 的 融合 。 随 着 网 络 规模 的 扩大 ， 也 暴露 出 物 联 网 ”名 来 实现 。 如 果 需 要 同时 实现 保密 性 和 认证 性 ， 传 统 的 公 钥 密 
系统 的 问题 : 物 联 网 终端 分 布 广 ， 而 且 结构 较 计 算 机 网 络 的 终 码 技 术 是 使 用 “ 先 签名 再 加 密 ” 的 方式 , 但 这 种 方法 效率 低下 。 
骨 更 为 简单 ， 面 临终 端 功能 欠缺 和 容易 遭受 攻击 的 缺点 。 而 物 1997 年 , Zheng 等 人 中 提出 了 签 密 的 概念 并 给 出 了 有 具体 的 方案 。 
联网 的 应 用 行业 如 食品 安全 、 入 侵 检测 等 则 要 求 物 联网 能 够 对 ”2002 Æ, Baek 等 人 中 I 首次 定义 了 签 密 方案 的 安全 模型 。 
突 发 事件 、 使 用 者 和 管理 者 提供 快速 、 准 确 的 响应 ， 实 现 人 与 在 实际 应 用 中 ， 当 签 密 用 户 较 多 时 ， 接 受 者 需要 同时 验证 
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多 个 密 文 。 为 了 提高 密 文 的 批 验证 效率 ，2009 年 ，Selvi 等 人 外 
结合 聚合 签名 饵 的 优势 提出 了 聚合 签 密 的 概念 。2003 F, 
Al-Riyami 等 人 00 首 次 提出 了 无 证 书 密码 (certificateless 
aggregate signcryption, CLASC) 体制 ， 该 密码 体制 不 仅 避免 了 
公 钥 证 书 管理 及 验证 问题 ， 而 且 很 好 地 解决 了 密 钥 托管 问题 。 
2008 年 ，Barbosa 等 人 0 首次 提出 了 一 个 无 ; 
出 了 其 对 应 的 安全 模型 。 随后 , Eslami 等 人 
牛 淑 芬 等 人 0 和 Han 等 505 又 各 自 提出 无 证 书签 密 方案 。 

通过 对 聚合 密码 体制 的 研究 ， 本 文 提 出 了 一 种 适合 物 联网 
系统 的 不 需要 双 线 性 运算 的 无 证 书签 密 方案 。 因 为 没有 复杂 的 
双 线 性 对 运算 ， 该 方案 具有 较 高 的 运算 效率 。 经 证 明 ， 该 方案 
满足 不 可 伪造 性 、 机 密 性 和 可 公开 验证 性 。 


证 书签 密 方案 并 给 


中 、 刘 建华 等 人 [91、 


1 ”预备 知识 


定义 在 ( F, 表 示 有 P 个 元 素 的 有 限 域 ，P 为 素数 且 >3 ) 
上 椭圆 曲线 方程 为 
y =x +ax+b a,beF, 
判别 式 为 
4a? - 27b? + 0mod p 
椭圆 曲线 上 的 所 有 解 与 一 个 无 穷 远 点 0 构成 的 一 个 集合 
用 EG, 来 表示 ， 即 : E(F,) = (x,y) |o» EF, ), 满足 方程 


(y =x +ax+b juvfO ， 
线 的 阶 。 
1.1 离散 对 数 问题 
离散 对 数 问题 (Discrete logarithm problem, DLP) : 设 G 
是 一 个 阶 为 4 的 加 法 循环 群 ，P 是 G 的 生成 元 , 对 于 bez, 找 
到 整数 4 使 得 b=aP 是 困难 的 。 
1.2 计算 Diffie-Hellman 问题 
计算 Diffie-Hellman 问题 (Computational Diffie-Hellman 
Problem, CDHP) : XJ PRAHI abez, yE (aP,bP) ， 计 
算 abP 是 困难 的 。 


2 ”适合 于 物 联 网 的 不 含 双 线 性 对 的 无 证 书 聚合 签 密 
方案 


EC) 上 点 的 数 


1 9 表示 ， 成 为 椭圆 


本 文 提出 了 一 个 适用 于 物 联网 09 的 的 无 证 书 聚 合 签 密 方 
案 。 一 个 完整 的 物 联 网 由 感知 节点 (sensory node, SN; , 1«i n )、 
网 关节 点 (gateway node, GN) 、 云 平台 服务 器 (cloud platform 
server, CPS) 和 应 用 终端 (application terminal, AT) 组 成 ,， 

如 图 1 所 示 。 
感知 节点 的 功能 是 将 收集 到 的 数据 沿 着 其 他 感知 节点 进行 
逐 跳 地 传输 ， 并 发 送 到 网 关节 点 。 网 关节 点 将 数据 自动 保存 ， 

在 一 定 的 时 间 间 隔 内 将 自动 收集 的 数据 周期 性 的 传输 至 互联 
网 云 平台 服务 器 。 云 平台 服务 器 将 得 到 的 数据 发 送 给 应 用 终端 ， 


un 


以 供应 用 终端 解密 、 分 析 。 其 中 云 平 台 服 务 器 是 诚实 可 靠 地 ， 
负责 系统 管理 与 维护 ， 包 括 对 SN、GN 和 AT 的 登记 ， 私 钥 分 
S AN 


云 平 台 服 务 器 与 GN，GN 5 SN. GN 5 GN 之 间 是 通 


sF o 


过 无 线 通 信 。 
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具体 实现 过 程 如 下 : 


一 
ID, 64-7 PL 7 网 类 节点。 云 平台 服务 器 应 用 终端 
(GN) (CPS) (AT) 
TY P4 
1D. E S 

i», e 
i 感知 节点 

(SN) 
EE E E E EEEE NEE SEEE RN 


图 1 


无 线 传感器 网 络 的 物 联 网 结构 


Fig.1 IoT architecture of WSN 
a) 系统 初始 化 ， 该 算法 由 GN 执行 。 输 入 安全 参数 上 ， 选 


择 一 个 大 素数 4 (422) ， 设 G NÉ 


为 G 的 生成 元 。 


H, : {0,1 xGxG—Z/, 


> Z? o CPS 随机 选择 主 密 钥 seZ;， 并 将 


7, 


A: FP 


-sP 


ub 


司 曲线 的 一 个 循环 群 ，P 
选择 三 个 抗 碰撞 的 杂谈 函数 
H,;:GxG2Z,/, H,H,: GxGxGxG 


秘密 保存 ， 计 算 主 
发 布 系 统 公 开 参 数 


， CPS 


params= (4. P,G, Pps: Hi Ha H3} o 


b) si^ 
机 选取 秘密 值 he ， 


发 送 给 CPS 。 


其 中 ， 


9 部 分 私 钥 生 成 ， 


值 5 eZ , 计算 R-rnP, h-H(D.R,X), D,-ncsh,, 


D, ) 通过 安全 信道 发 送 给 各 感知 节点 SN, 。 其 中 ， 


成 ， 该 算法 由 感知 节点 SN, 执行。 感知 节点 SN, B 


将 其 保存 , A X SP, K CID, X) 


为 私 钥 ，X; 为 公 钥 。 
该 算法 由 CPS 执行 。CPS 随机 选择 秘密 
HCR, 
R 作为 用 户 


部 分 公 钥 ，D; 作为 用 户 的 部 分 私 钥 。 


这 样 ， 


样 , 应 上 


qd) 个 体 签 密 ， 该 算法 | 


SN, 的 私 钥 为 SK, -(D.x) , 公 钥 为 PK, -(R.X) o [a] 
终端 AT 的 私 钥 为 SK, =(D;, Xg), AHN PK,-(R,,X,) 。 


感知 节点 SN, 执行 。 感 知 节 点 SN, 发 


送 给 AT 的 消息 wm 进行 签 密 的 步骤 如 下 


感知 节点 SN, 


OHA K; = kP , 


Qui Q,;-kX,, 


随机 选取 Rt ez o 


T -tP; 


Qa = 万 (Re 十 P,,H,UD,, Ryj,X4) ; 


OSEE ha - HQ9; 


@@ 加 密 ， 


@ 计 算 h,-H,C.Q,.Q,K), 


DER, 


C, =h, ® (m, || ID.) ; 


h, -H,(C.Q4.Q,. T) ; 


S; =k; +t; + hD, thx, 


感知 节点 SN, 发 送 给 AT HRF m, 的 签 密 为 : 
6; -(C.K,T,5) (1<i<n) 。 


DD 73 
DESEE 


个 签 


Wc n 4 


签 密 者 


该 算法 由 网 关节 点 CN 执行 。 


信息 =C KTS) (1sisnO ， 聚 合 者 


CN 计算 5=25; ， 则 聚合 签 密 为 = «(KT.C).s», ， 并 将 其 
i=l 


AXIS AT. 


) 解 签 密 ， 该 算法 由 应 用 终端 AT 执行 。 
AT 对 SN 发 送 的 签 密 0, 7 (CC Ki T.) 解密 步 又 


hV HH £y 


iu 
I! 
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输出 为 “false”。 


DROMER, IE 


3 


3.1 
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Quir Qa -Kx,, 


Qa - Ti (n + sH UD; Rs, X) - D, ; 


计算 h, = H, (QQ) ; 


@@ 恢 复明 文 ， 


(m, || ID) =C; ® h ; 


由 计算 h; = H, (C;, Q,» Q2: K;) , 


h, = H(C.Q4 QT); 


验证 签名 的 正确 性 : 


SP =K, +T, +h, (GR, + P, „H, (ID, R, X) * hX, 


P 


如 果 成 立 ， 证 明 聚 合 签 密 是 有 效 的 ， 输 出 mwI11D; ， 否 则 ， 


应 用 终端 AT 执行 。 


AT 对 SN, 发 送 的 签 密 o= <{K,T,CG} ,5> 解 密 步 又 为 : 
Oir Qa -Kix,, 


Qa =T(r - sH, (D, Rp, X ,)) - TD, ; 


i 


Quis h, = H,(Q4.0) ; 


@ 恢 复明 文 ， 


CA 


由 计算 h; -H,C.Q,Q, K), 


h, = H.(C.Q,.Q,.T) ; 


验证 签名 的 正确 性 : 


SP-Y K, «Yr «Y hs GP, HD, R, X ))* Y aX, 
i=l i=l i=l 


i 


如 果 成 立 ， 证 明 聚 合 签 密 是 有 效 的 ， 输 出 wD; ， 否 则 ， 


输出 为 “false” 
方案 分 析 
正确 性 


定理 1 接收 者 能 够 验证 签 密 、 
I 正确 的 解密 明文 m o 


证 明 


Lo 


聚合 签 密 的 正确 性 ， 


a) AT 能 够 验证 签 密 0; =C, K TS) Clsisn) 的 


FTT 


SP=[k +t, + hD, + hx; ]P 


=[k; +t, +h (r, + sh) + hx; ]P 
= K, +T, +h (R, + P pH, OD, R; X) c ha X; 


b)AT 能 够 验证 聚合 签 密 c= «(K.T. C); S» 的 正确 性 


p 


o 


SP =X [E +t, haD, hax]? 


-2Y IK, +T, + hD, + hí(R, + P, 


i 


H,(D,.R,. X.) 


pub 


= Yk * Sr + MIA, + PH UD, R, X,+ $ haD, 
i=l i=l i=l 


izl 


QAT 能 够 得 到 正确 解密 明文 m o 
h, = H, (Qi, Qa) 


zd Hy X t (X5 F R; + PH (Dg, Ry, Xs))) 
= H, (xs Pt, PQxs + r; SH, Ds, Ry, Xs) 
= H, (K xp T (xs +r, SH, UD; Rp, Xs) 


=H,(Kixs,TD;)= hy 


可 


3. 


决 DLP 问题 (其 中 ， 
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于 SN, 通过 计算 C, = h, € (m; || ID; 对 明文 进行 加 密 ，AT 通 
过 计算 m, I| ID, =h © C, 对 密 文 进行 解密 ， 又 由 于 ,=h;, ， 所 以 
以 确保 CPS 最 后 得 到 了 


2 不 可 伪造 性 


E 确 的 明文 。 


定理 2 在 随机 预言 模型 中 且 DLP 难 解 的 情况 下 ， 本 文 提 
出 CLASC 方案 在 适应 性 选择 消息 攻击 下 是 存在 性 不 可 伪造 的 
(EUF-CLASC-CMA) 。 

引 理 1 随机 预言 模型 下 ， 如 果 存 在 一 个 概率 多 项 式 时 间 
攻击 者 4 以 不 可 忽略 的 概率 赢得 游戏 , 那么 存在 算法 C, 能 够 解 


A E AAT du, 


Ci=1234) 次 H, [iif]. 


ds 次 私 钥 问 询 、gosx 次 部 分 私 钥 问 询 、gwx 次 公 钥 问 询 以 及 ax 


次 签 密 


bP) , Kr 


DUE 


SITE) 


问 询 ， 聚 合 签 名 的 用 户 数 为 上 ) o 


证 明 假设 算法 C 是 一 个 DLP 的 解决 者 ,输入 元 组 为 (P， 


Pb ez; HRA, 
HWRE. C 维护 以 下 6AIL, Lh. L. L. 
记录 ARMELA n H.. H.. H, Ge 
居 ， 列 表 初 始 化 均 为 空 。 


目标 是 计算 2 ， 以 4 作为 子 程序 的 
Lp ^ Lyc 分 别 


j 户 、 签 密 的 问 询 


D 系统 初始 化 阶段 。 


C y P,-bP (XH 


b 默认 作为 系统 主 密 钥 ， 


Host A f 


密 ) ， 选 择 并 发 送 系统 参数 params= (e. P. G Pus HH, H4 给 敌 
RA. 

25 问 询 阶段 

H, HW. Č IIK L UDR, X h) 。 当 4 输入 
(1D,R,X;)，G 作出 以 下 回应 : 

a) 若 该 ( ID.,R,X,) 对 应 的 问 询 已 存在 于 列表 5 中, 则 返回 对 


NH My 2A A. 


b). C 随机 选择 


H, 问 询 。 Č 维护 列表 L = {Qa Q2 ha} o = 


中 ， 3k [n hi ZR A. 
C 作出 以 下 回应 : 


BJ hA. 


中 ， 


(G-Qi-Q2-K; ), 


h, € Z; , 将 C ID, R, X; hı ) MAFIK L 


A 输入 ( Qis Qa )， 


a) i Q 0s ) 对 应 的 问 询 已 存在 于 列表 到 中 ， 则 返回 对 应 


b) 和 否则 ，'5, 随机 选择 


ho ZR A o 


jB |E 


H, jg. C 维护 列表 L -(C.QsQs Khu) 。 当 
C EHA FE 
a) A 6.0.0». K ) 对 应 的 问 询 已 存在 于 列表 L F, 则 返 


对 应 的 已 给 4 o 


DEN, Č 随机 选择 


(€.Q.Q,. T); 
DEIZ, Ci- Qa- QaT, X] 


JBE hs 28 A 。 


h € Z , 将 C Qi. Qs. h ) 加 入 列表 L, 


4 输入 


M: 


pni 


hs € Z , 将 ( CGC,Q,Q,, Ki» his ) 加 入 列 


H, 问 询 o [ol 维 护 列表 L, ={C;; Qi: Q2 T. ha) o = A 输入 


C 作出 以 


HN: 


对 应 的 已 给 4。 
b) 否 则 ，G 随机 选择 he Z;, X CCQ QT. hi). 加 入 列 


AL n, 


JB JE] ha 2A A o 


应 的 问 询 己 存 在 于 列表 二 中 ， 则 返回 
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用 户 创 建 问 询 。 C 维护 初始 为 空 的 列表 Lo = UD, hi D, 
六 及 22) 。 提交 用 户 身 份 1D ， 如果 ( ID hi Din Rx X; E Lo, 
中 已 存在 ， 则 忽略 ; Gu, Cd Hum, BU. Ms: 

a) ID,-1D,, C BEpLTdET, x ez, WHER =P A 
X;-xP, 将 CID'hy Lr, RyxsX,) EA Lo; 

DEN, C 随机 选择 Dox e 2Z;， 计 算 R-DP-h;P, 和 
X,-xP, 将 CID.h, DL, Rx, X;) dA Lpo 

部 分 私 钥 问 询 。 A PEHA ID, Č 作出 以 下 

a) 如 果 1D;=1D; ，C 终止 游戏 ; 

b) 否 则 ，G 返回 乙 给 4 。 

私 钥 问 询 。4 提交 用 户 身份 尼 ，CG 则 返回 对 应 的 * 给 4 。 

A8. A TEE ID, Č 返回 ID 对 应 的 公 钥 CRX, 
作为 应 答 。 

公 钥 蔡 换 问 询 。4 用 一 个 新 的 公 钥 ( Xi,R ) ， 蔡 换 合 法 签 
VE ID 的 原 公 钥 ( Xi,R ) 。 

签 密 问 询 。 上 维护 初始 为 空 
Lc 7 (m. ID, ID, K, T, hs hs ha Sc) 。4 提 交待 签 密 
送 者 身份 D 和 接受 者 身份 Ps 。 

引 如 果 ID, - ID, , C, 随机 选择 Si,h,h,h € Z;, WRK RP, 
T, = SP - hax, - h,D, - K, | h, = HK x T cg +r, + 
frd yj LOT LO, wR OL rp dede 
C COQ Kohi ) R L PEE C CO QT h) , H 
E S FE SSA.Jhok ; TU, 计算 
C, =h, (n, |ID) , Xa [B] XC o; = (C. K,T, S) ; 

b) 和 否则 ID, * ID, ，C 按照 签 密 算法 进行 计算 , 并 根据 需要 执 
ff H, Ci-12,4 ) 问 询 和 密 钥 问 询 ， 然 后 返回 签 密 密 文 
6; = (C, K, T, 5,) ; 

W COR (m, ID, ID, K, T hay haha Soc) 插入 到 Lc 中， 
T£ (C.Q.Q, K.h; ) 4l CC.Q. QT. hi TAJEA SI L M L, o 

3) 伪造 阶段 

询问 阶段 结束 后 ，4 提交 挑战 
消息 及 其 签 密 密 文 (Cj,Kj,T),5)) 。 

CG 计算 Hh. HG, T Query E SHLUDs Ros X4) ， 解 密 消 息 
m,-h,O9C,, MA X SHERD7], Č 利用 预言 机 重 放 攻 击 技术 
可 以 得 到 两 个 合法 的 签名 { ID, ID, 有 To3 和 


in, DID, K,, Th ,ha,S)}。 其 中 Ss,zs/ ，hzhy， 并 且 满 足 : 


Js 


n 


IW: 


nu 


i 


空 的 列表 
BE m. X 


SH,UD4,Rs,X4)) ， 


lir 


; ; 
hozhlvh zh , Č 


户 身 份 ( 1D,,1D。) 、 挑 战 


S, =k; +t; t h4D, thx, 
r ' 
S; =k; +t, +h; D; t hix, 


那么 ，C 计算 : 
S/ -S, =k; +t; +h D, hax, -(k; t; h4D; hix) 


= -h4)D, 


(D, -r) 
H,UD,. R,. X) 


Sj -8; =h; - hy); 
(h! -h)HUD,. R;, X) 


,作为 对 DLP 的 


n 


因此 ， C 成 功 获得 DLP 困难 问题 的 一 个 实例 。 C 能 够 成 
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功 解决 DLP 困难 问题 的 优势 为 = = 


gpsg tn-l 
1 1 a 
h = ) € o WE 
Qpsk +n dpsk +n 


毕 。 


5|38 2 随机 预言 模型 下 , 如 果 存 在 一 个 概率 多 项 式 时 间 攻 

击 者 A 以 不 可 忽略 的 概率 赢得 游戏 ， 那 么 存在 算法 C. 能 够 解 
决 DLP 问题 GEP, A 最 多 执行 (i=1,2,3,4) WRH, 问 询 、 
d 次 私 钥 问 询 、 qvsx 次 部 分 私 钥 问 询 、4mw 次 公 钥 问 询 以 及 gsc 
次 签 密 问 询 ， 聚 合 签名 的 用 户 数 为 % ) 。 
E 明 : 假设 算法 6 是 一 个 DLP 的 解决 者 , 输入 元 组 为 (P， 
bP ) ， 其 中 s 环 且 未 知 ， 目 标 是 计算 上 ， 以 4 作为 子 程序 的 
挑战 者 。G EPAF 6NR, Lh. Lh. Lu Los Lac 分 别 
记录 4 对 预言 机 HH、 、H,、H,、 创 建 用 户 、 签 密 的 问 询 
数据 ， 列 表 初 始 化 均 为 空 。 

1) 系统 初始 化 阶段 

设 P 


- * L 
pub 一 sP , SE Z , ^E 成 


EÍ 


系统 S 数 
params= {4;P, G,P,,,H. HH , C, AS (a P, GS Pass) AL. 

2) 问 询 阶段 

Ay 执行 多 项 式 有 界 次 的 以 下 问 询 。 
H, $U H, 问 询 ， 与 定理 1 相同 。 
17 8 £ m i. C, 99k 4" WJ "8 2g "x NJ x 
提交 用 户 身 份 DB ， 如 果 
UD, h, Dr, Rx, X) E Lo POFE, WINS. A, Č, 执行 部 
询问 ， 取 得 加 ， 然 后 : 

a) 4p R D=D, , 4 Q 计算 R=wP 和 
D, =r; t sHD,R,X;), 将 C ID hy, Lr, Rx, X, ) HA Ly ; 

b) 否 则 ，C, 随机 选择 D; ，x e Z;, V SERT EP. Doresh, 
JI X, —xP, 将 (ID,h,D, 上 DR,%,X;) JEA Ln o 

部 分 私 钥 问 询 。 A 提交 用 户 身份 1D ，C, 则 返回 对 应 的 D; 


给 4 o 


H, s H, 、 


Ly = UD.h, Dr RX X) 。 


X, =bP 


私 钥 问 询 。 A 提交 用 户 身份 到 CL 作出 以 下 回应 ; 

a) 如 果 1D.=1D; ，C, 终 止 游 戏 ; 

b) 否 则 ，C, 返回 5 给 4 。 

Ax IR if. A 提交 用 户 ID, , C 返回 1D 对 应 的 公 钥 ( Res X, 
作为 应 答 。 

公 钥 替换 问 询 。 A 提交 用 户 身 份 好 ， 以 及 蔡 换 公 钥 总 ， 
WR D 51D; , Č, IEDER: TW C.H X BRB ID 原 有 的 
A X, 


签 密 问 询 。 Č, 维护 初始 的 为 空 的 列表 Lue = Un. ID, 1D, 
KoT hah SoG} o Ar 提交 待 签 密 消息 m 、 发 送 者 身份 D, 和 接 
受 者 身份 Ds o 

引 如 果 ID, =1D;, Č 随机 选择 S.h.n e Z, WATSAP, 
K,=SP-h(x,+D,)-T lh, = H(K xs T cg + rs SH, UD, Ry. 
X,» , EWIK L M L, WR L PFE C COQ Kph ) EX L, 
PEE CCO Qo Tohi) 5 BHoneh!vhzh!o Č 重新 选择 
否则 ，G 计算 G=h © |D) ， 返 回 密 文 


Go;=(G,K,,T,5,); 


S; hs, h.t, 3 
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Bt 
: 


b) 和 否则 ID, * ID, ，C 按照 签 密 算法 进行 计算 , 并 根据 需要 执 
ff H, (i=123,4 ) 问 询 和 密 钥 问 询 ， 然 后 返回 签 密 密 文 
o; - CC, KT, S) ; 
Hn, CFR (m, 1D, ID, KT. ho has hus Spc) 插入 到 Lsc 中 ， 
KE C C.Q. Qa K.h; ) FI CC.Qi QT hi). DIAE L M L, o 


u 


3) 伪造 阶段 

询问 阶段 结束 后 ，A4 提交 挑战 用 户 身 份 ( 1D,,1D。) 、 挑 战 
消息 mw 及 其 签 密 密 文 (Cj,Kj,T,5)) 。 

C, Yr E ha =H, (K Xp T, Op try +H Dp Ry X3) ， 解 密 消息 


m,-h,OC,, RXUN, č, 利用 预言 机 重 放 攻 击 技术 可 
以 得 到 两 As 合 法 的 签 名 mj, ID; ID, K jT, hj, hs hi8; 和 


并 且 满 


人 


足 : 


S, =k; +t; t h4D, thx, 


其 中 s sS, hs hy ， 


p ' 
S; =k; +t, c h4D, +h% 


那么 C 计算 : 
S; 一 8 ck etj t h,D, hix; -(k, +t, +hsD, *hax) 


- (hy —hy)x; 


S- 


|， 一 中 
box ou 作为 对 DLP 的 回答 。 
因此 ， Č, 成 功 获得 DLP 困难 问题 的 一 个 实例 。 C. 能 够 成 
功 解决 DLP 困难 问题 的 优势 为 = er —) m: 
H, 
3.3 机 密 性 
定理 3 随机 预言 模型 下 ,基于 CDHP, 本文 提出 的 CLASC 


方案 在 适应 性 选择 密 文 攻击 下 是 不 可 区 分 的 ， 即 
IND-CLASC-CCA2 安全 。 

引 理 3 随机 预言 模型 下 ， 如 果 存 在 概率 多 项 式 时 间 政 手 
E 


T 
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A CRA) 以 不 可 忽略 的 概率 赢得 游戏 ， 则 存在 挑战 者 C 能 够 
以 不 可 忽略 的 概率 解决 CDPH 的 一 个 实例 。 
引 理 3 的 证 明 方 法 与 文献 [123] 机 密 性 证 明 方案 类 似 ， 
篇 幅 ， 略 去 此 部 分 。 
3.4 可 公开 验证 性 
本 文 方案 中 ， 当 签 密 发 送 者 和 签名 接受 者 关于 聚合 签 密 密 
文 的 真 伪 发 生 争执 时 ， 任 意 第 三 方 均 可 验证 下 面 等 式 ， 


SP ÈK, + Èr PX 


为 该 等 式 的 验证 无 需 接受 者 的 参与 ， 且 不 需要 任何 签 密 者 的 秘 
密 信息 ， 因 此 方案 具有 可 公开 验证 怕 
3.5 性 能 分 析 

为 了 便于 比较 签 密 方 案 的 计算 效率 ， 假 设 参与 签 密 的 用 户 
有 7 个 ， 这 里 考虑 三 种 运算 :指数 运算 (标志 为 <) 、 群 G 上 
的 乘法 运算 (标志 为 *， 、 双 线性 对 运算 (标志 为 ?， 。 相 比 
较 前 三 种 运算 ， 散 列 运 算 和 异 或 运算 的 耗 时 对 整体 效率 的 影响 
可 以 忽略 不 计 。 在 本 文 方案 中 ， 签 密 阶 段 ， 个 签 密 者 在 计算 


限于 


"i 


KP, H,UD, R, X )]-- Y MaX, X 


izl 


Ht 


o 


Q,;-kX,, Q,-t(R* Py HLD;, Ry, Xs)) 时 ， DEA 到 2n 1X KÀ 
WZH Po UD, Rs,Xs) 的 值 固定 ， 只 需 计 算 一 次 ) ; 在 解 签 
密 阶 BR ， 验 证 等 X d X 


SP- ÈK, + ÈT, tO UR + PH D, R, XD)]+ È hX, 和 ud 算 


Q,-Kx,, Qn =T, t SHUD,,R,,X,) = TD, ， 共 需要 Sn+l 次 点 乘 
运算 。 参 考 文 献 [18] 所 给 的 实验 数据 ， 三 种 运算 所 花费 的 时 间 
代价 (以 毫秒 为 单位 ) 分 别 为 px20.01，Ex11.20，s~x0.83。 从 
dé 1 中 看 出 ， 对 同样 多 的 消息 进行 聚合 签 密 ， 本 方案 相 比 于 文 
献 [12~15] 的 方案 相 比 ， 运 算 效率 提升 很 多 ， 与 运算 效率 相对 较 
高 的 方案 相 比 ， 运 算 效 率 提升 了 近 6 倍 。 从 方案 的 安全 性 能 来 
看 ， 只 有 文献 [13] 和 本 方案 满足 公开 验证 性 。 综 合 考虑 方案 的 
运算 效率 和 安全 性 ， 本 方案 优 于 以 上 四 种 方案 。 


聚合 签 密 方案 运算 量 和 安全 性 能 比较 


Table 1 Comparison of computation and security performance of aggregation signcryption 


方案 签 密 解 签 密 运算 总 量 代价 佑 耗 安全 性 公开 验证 性 
文献 [12] np ^ ne Qn 3)p * (n*1)s ne * (3n *3)p * (n l)s 72.06n + 60.86 可 证 安全 是 
文献 [13] n(p-2s) (n+3)p (2n+3)p+2ns 41.68n + 60.03 可 证 安全 T 
文献 [14] ne +4ns (n+2)p+ns ne+5ns+(n+2)p 35.36n + 40.02 可 证 安全 a 
文献 [15] 3ne+np+ns np+ns 2np + 3ne + 2ns 75.28n 可 证 安全 f 
本 方案 Qn *1)s (5n Ds (In -2)s 5.81n +1.66 可 证 安全 是 


4 ”结束 语 


聚合 签 密 因 其 加 密 、 签 名 和 批量 处 理 的 特性 在 物 联 网 环境 
中 具有 很 大 的 应 用 价值 .为 了 提高 无 证 书 聚 合 签 密 的 计算 效率 ， 
在 随机 预言 模型 的 基础 上 , 提出 了 无 双 线性 对 的 聚合 签 密 方案 ， 
经 证 明 该 方案 满足 机 密 性 、 不 可 伪造 性 和 可 公开 验证 性 。 与 已 
有 的 方案 相 比 ， 本 方案 的 计算 速度 更 快 ， 更 适合 在 物 联 网 中 应 
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